Zwischen Panikmache und Argumentation

Die Management-Tricks der CSOs

03.11.2004
Von Detlef Scholz
Wenn IT-Verantwortliche ihren Chef überzeugen wollen, dass neue Sicherheitsmaßnahmen nötig sind, greifen sie oft tief in die psychologische Trickkiste. Manche schüren Angst und Verunsicherung, andere argumentieren rational. Das wird in einer Studie des Anbieters von Sicherheitslösungen, Watchguard Technologies, aufgedeckt.

Beliebt ist bei den IT-Managern auch die Delegierung der Verantwortung nach oben. Einige erwähnen ähnliche gelagerte Fälle in anderen Unternehmen oder zitieren Berater und sonstige Experten. Manche ändern die Reihenfolge der Vorgehensweise, indem sie erst das Problem angehen und anschließend die Erlaubnis einholen.

Fast die Hälfte der Befragten zieht die Angst- und Verunsicherungsmethode vor. Sie malen Schreckensgemälde über Vertrauensbrüche, Kundenverlust oder Haftbarkeitsszenarien an die Wand. Knapp 30 Prozent der Netzwerk-Administratoren geben an, die Geschäftsführung nur mittels Einschüchterung überzeugen zu können. Denn die Chefetage würde die implementierten Sicherheitsstandards nur selten bis nie ausschließlich aufgrund von Ratschlägen ändern.

30 Prozent geben an, dass rationale Faktoren wie kostenbasierte Analysen, Produktivitätsstatistiken und Fachartikel genügen, eine Reaktion auf Seiten der Geschäftsführung hervorzurufen. Über die Hälfte der IT-Administratoren haben leichtes Spiel: Ihren Chefs genügt bereits eine begründete Empfehlung für neue Sicherheitsmaßnahmen.

Die Untersuchung verdeutlicht außerdem, dass kleine und mittelständische Unternehmen sich in punkto Sicherheit stark unterscheiden könnten. Obgleich die Bedrohungen und möglichen Folgen in der Öffentlichkeit ständig thematisiert werden und auch seitens der Behörden der Druck wachse, sei das Sicherheitsbewusstsein in vielen kleinen Firmen noch unterentwickelt.

"Um einen wirksamen Schutz vor Attacken zu realisieren, ist die Unterstützung der Geschäftsführung unentbehrlich", sagt Watchguard-Mitarbeiter Mark Stevens. IT-Verantwortliche dürften zudem nicht nur von einem einzigen technischen Lösungsansatz ausgehen. Sie sollten die Anwender fortlaufend aufklären sowie Sicherheitsregeln entwickeln und einsetzen.

Für seine Studie "IT-Sicherheitsrisiken in KMUs 2004" befragte Watchguard 150 IT-, Netzwerk- und Sicherheits-Administratoren kleiner und mittelständischer Unternehmen.

Weitere Meldungen:

Sicherheitsrichtlinien werden oft nicht wahrgenommen
Firmen fehlen ganzheitliche Sicherheitskonzepte
Sicherheit unter "ferner liefen" bei IT-Chefs

Bücher zum Thema:

IT-Sicherheit mit System
Handbuch Electronic Business

Zur Startseite